La ciberdelinqüència no és, ja de fa temps, un spin off de Matrix o Blade Runner. És una realitat que tenim a tocar cada vegada que utilitzem eines digitals o, més inquietant encara, cada vegada que connectem una eina digital. Els ciberatacs estan a l'ordre del dia, és un dels delictes més a l'alça. De fet, tres de cada quatre estafes ja són, avui, online. Ha passat el temps de l'estafa del bitllet de loteria premiat, o potser no, però cada vegada és més a la cua d'aquesta mena de delictes. Avui, la ciberdelinqüència espera la seva víctima a la cantonada de qualsevol clic. D'això ha tractat aquest matí la jornada organitzada per Regió7 i Prensa Ibérica que s'ha celebrat a l'Espai Plana de l'Om de Manresa. Amb el patrocini de CaixaBank i Kouten, amb la col·laboració de la Corredoria d'Assegurances Pujol i amb el suport de Mossos d'Esquadra i de l'Agència de Ciberseguretat de Catalunya, la jornada, ha abordat quines són les eines i recursos dels usuaris, tant particulars com empreses, per afrontar un perill que ja no és qüestió de si en serem víctimes, sinó de quan.

La matinal s'ha iniciat amb una presentació a càrrec de Moritz Castejón, director del Centre d'Empreses de Manresa de CaixaBank, que ha fet una repassada de les recomanacions que fa aquesta entitat als seus clients per evitar (o per posar més difícils) les ciberamenaces. Castejón ha insistit, així, que cal ser, abans de res, molt curosos amb l'ús d'internet. Per això cal, també, un bon antimalware que estigui ben actualitzat per protegir tant el sistema operatiu dels nostres maquinaris com de les aplicacions i programes que hi descarreguem. És necessari també prestar molta atenció a les contrasenyes que dissenyem per accedir als nostres terminals, que han de ser robustes, no contenir dades freqüents com el DNI o la data de naixement i tenir un mínim de vuit caràcters, entre d'altres. Usar gestors de contrasenyes també es revela com una necessitat atesos els riscos. És obvi, però no sempre s'hi està al cas, que cal evitar llocs de dubtosa reputació, així com evitar descàrregues de procedència desconeguda. Un altre punt a tenir en compte són les xarxes wi-fi gratuïtes, que poden ser una porta d'entrada a programes maliciosos. En definitiva, ha dit Castejón, cal "desconfiar sempre i usar el sentit comú".

La jornada ha comptat, posteriorment, amb dues ponències, la primera a càrrec del pèrit judicial, informàtic forense i expert en ciberseguretat Bruno Pérez. El mediàtic conferenciant ha fet ús dels seus dots escènics per insistir en les recomanacions que ja va explicitar fa poc més de dos anys, en una anterior jornada organitzada també per Regió7 sobre la matèria. Pérez, que ha intentat respondre a la pregunta plantejada, per què no ens podem permetre ciberatacs, ha començat interpel·lant els assistents, una seixantena de persones, sobre la necessitat de fer-nos responsables de la tecnologia que utilitzem diàriament. Evitar ciberatacs no és responsabilitat només dels departaments de tecnologia de les empreses, sinó, especialment, de les gerències i del conjunt d'empleats en general.

La seguretat, ha dit Pérez, "evoluciona". Així, gràficament, ha comparat la història d'internet a la de les infanteses passades als pobles, on totes les portes dels veïnats estaven obertes. Avui això ja és impensable: d'una manera similar cal afrontar els riscos a la xarxa, amb una protecció extremada. Avui, segons Pérez, moltes empreses continuen treballant amb els mateixos protocols de seguretat de quan les connexions es feien amb contactes segurs. La diferència és que la connexió, avui, és global, i la xarxa està plena de desconeguts, no tots amb bones intencions respecte de les nostres dades i la nostra privacitat.

Per combatre els riscos, Pérez recomana no pas una gran inversió en programari, sinó "el més senzill, que acostuma a ser el més efectiu". Així, calen "petites mesures que t'allunyen de ser víctima dels criminals".

Els "dolents", diu Pérez, s'aprofiten de la ignorància general sobre les eines que utilitzem en la vida personal i professional. "Encripteu la informació? Feu servir VPN?", ha preguntat Pérez al públic, que ha recomanat "humilitat" per treballar amb recursos digitals. "Abans et compraves un ordinador i feies un curs d'informàtica, ara tens un munt de dispositius a casa i no et preocupes de saber com funcionen". Una desídia, a parer de Pérez, que és un favorable caldo de cultiu per als ciberdelinqüents.

Pérez ha utilitzat gràfics exemples de com amb senzills programes es poden envair privacitats molt llunyanes, com una benzinera dels Estats Units o una unitat de radiologia d'un hospital proper. Exemples que Pérez ha posat en pràctica davant de l'audiència amb alguns simples clics. També ha entrat en una impressora aliena, per demostrar que fins i tot l'aparentment més inofensiu estri informàtic amb connexió a la xarxa pot ser una porta d'entrada a la delinqüència.

"Ens calen actualitzacions constants, no només del sistema, sinó també de l'usuari", ha dit Pérez, que ha insistit que l'excés d'informació a les webs empresarials dona moltes eines als delinqüents, que operen des de països on la nostra mínima expressió de solvència pot suposar un esquer molt llaminer per penetrar en la nostra intimitat personal o laboral. A més, Pérez ha recordat que "darrera la tecnologia hi ha persones", i que els abusos digitals suposen, especialment, una amenaça per a la integritat de les persones. Pérez ha tancat la seva intervenció reclamant als assistents una "rehumanització" més enllà de l'ús abusiu que fem de les eines digitals.

Una segona ponència ha estat protagonitzada per Albert Álvarez, sotscap de l'Àrea de Seguretat en Tecnologies de la Informació del Cos de Mossos d'Esquadra, que ha plantejat la qüestió sobre què fer abans i després d'un ciberatac. Álvarez ha recordat que avui més de l'11% de denúncies que es presenten als Mossos tenen a veure amb la ciberdelinqüència, una dada "important", ha dit, que fa replantejar els escenaris en què treballen els cossos de policia, ja que reclama una transformació dels protocols, avui potser "no prou dimensionats".

Álvarez ha donat moltes dades sobre l'evolució de la ciberdelinqüència, un delicte que des del 2010, ha apuntat, creix any rere any. Així, si el 2020 es van registrar 50.131 denúncies de delictes relacionats amb les eines digitals i el 2021 52.337, el 2022 es preveu que acabi amb més de 63.500, el 21,48% més que l'any passat. Si la ciberdelinqüència suposava el 2021 l'11,06% del total de denúncies presentades, aquest 2022 el percentatge pot superar l'11,5%.

Álvarez ha explicat alguns dels efectes directes dels atacs de ramsomware, com poden ser el pagament d'un rescat (que es dona en el 58% dels casos, segons un estudi de l'asseguradora Hiscox), la despesa i el temps que suposa recuperar-se de l'incident o la filtració de dades que pot acabar en dobles o triples extorsions. Álvarez ha recordat que el ransomware actua avui robant credencials, escalant privilegis i persistint en l'atac fins aconseguir els credencials de l'administrador, que converteix l'atacant en una mena de "déu" capaç de destruir completament tot el nostre equip i fer-nos pagar per recuperar-lo. "El risc 0 no existeix", ha dit Álvarez, que ha insistit que "tothom hi està exposat", ja que avui és més probable ser víctimes d'un ciberatac que no pas d'un robatori amb intimidació al carrer, ha apuntat l'expert.

Álvarez ha continuat recordant que en general s'és molt reaci a denunciar els atacs cibernètics. Així, el 80% dels delictes, segons un càlcul de l'any 2020, queden sense registre oficial, fet que reforça la duresa de les dades oficials sobre la incidència dels ciberatacs en empreses i particulars que no són sinó "una especulació de la realitat". A més, ha dit, l'estadística no recull les conseqüències dels atacs, que cada vegada són "més greus".

Álvarez ha fet una repassada a les tipologies de ciberdelictes més freqüents, com poden ser el phishing ("enginyeria social aplicada a l'estafa", una tècnica que parteix del fet que "la persona és la baula més feble"), l'spear phishing (un atac dirigit a un objectiu seleccionat i estudiat, com poden ser les ordres donades per un fals CEO i del qual també han estat víctimes les administracions públiques per la seva normativa de transparència), el vishing (falsos tècnics de Microsoft, per exemple, que s'ofereixen per reparar programaris en línia) o l'smishing (SMS que intenten suplantar entitats bancàries).

Per a Álvarez, és clau presentar una denúncia policial per combatre contra la ciberdelinqüència. Aixó dona visibilitat a una problemàtica molt general, permet dimensionar el problema i ajuda a complementar altres investigacions en curs. Per això Mossos d'Esquadra possibilita cites prèvies per accedir a les comissaries i ofereix redactats de documents en forma de denúncia, entre d'altres facilitats, segons ha detallat Álvarez. L'expert policial també ha relatat els reptes de la investigació tecnològica, com és l'existència de múltiples jurisdiccions implicades, la dependència de proveïdors de serveis tecnològics, la burocràcia judicial, la volatilitat de les evidències (de 12 mesos a Espanya) o les limitacions tecnològiques.

Álvarez ha insistit que el ransomware és un negoci "molt lucratiu" i que hi ha més d'un miler de famílies d'aquests programaris nocius. El policia ha insistit, especialment, en no pagar quan hi ha una extorsió digital, ja que així s'ajuda a trencar la cadena d'infeccions delictives. "Cal prendre molta consciència del que hi tenim a perdre", ha dit Álvarez, que ha insistit que les mesures a prendre per evitar ciberatacs han d'estar basades en un principi: "confiança zero".

La jornada s'ha tancat una taula rodona, conduïda per la presentadora de l'acte, la periodista de Regió7 Queralt Casals, i en la qual han participat, a més de Bruno Pérez, Tomàs Roy, director del Centre d'innovació i Competència en Ciberseguretat de l'Agència de Ciberseguretat de Catalunya; i Marc Vilaseca, CEO de l'empresa manresana de serveis digitals Kouten. La taula s'ha centrat en una qüestió de gran rellevància: per què a les empreses i particulars els avergonyeix reconèixer que han estat víctimes d'un ciberatac.

Segons Pérez, la seguretat requereix una gran "endreça" de les llars digitals. "La seguretat no és una tecnologia, és una actitud", ha insistit l'expert, que ha apuntat que "les empreses es divideixen en dos blocs: les que han estat atacades i les que ho han estat i no ho saben". Per a Pérez, no reconèixer un ciberatac va vinculat a la idea que si ha estat així és perquè "no hem fet els deures".

Tomàs Roy ha dit que la vergonya "és un constructe social", i citant un savi ha afirmat que és "necessària per arribar a la integritat". Però la vergonya alhora és "la línia d'atac" dels ciberdelinqüents. "L'atacant busca generar vergonya, perquè això debilita l'atacat", ha dit Roy, per a qui "no denunciar ens fa més dèbils". Roy ha posat de manifest que per al delinqüent només cal "tenir èxit una vegada", mentre que les empreses "s'han de protegir sempre", un desequilibri del qual abusen els atacants informàtics. Avui, ha insistit el convidat, es requereix més seguretat informàtica que física, i cal que les empreses s'adonin d'aquesta responsabilitat. Per a Roy, un ciberatac "no ha de ser motiu de vergonya, sinó d'anàlisi. Cal capacitat de minimitzar l'impacte perquè un atac sembla que és inevitable". La lluita entre les víctimes potencials i els atacants, ha conclòs Roy, "és molt desigual".

Per la seva banda, Marc Vilaseca ha recordat els serveis que ofereix la seva empresa per protegir els seus clients, i ha recordat que el volum d'una empresa no és argument per sentir-se segur davant d'un ciberatac. N'hi ha que s'adrecen a la xarxa de manera indiscriminada, per la qual cosa qualsevol empresa en pot ser víctima. "No es pot tenir una falsa seguretat que no t'atacaran", ha assegurat el responsable de Kouten.